安全等级保护建设方案Word格式文档下载.docx

1、为了满足达到国家GB/T22239-2008信息技术信息系统安全等级保护基本要求相应的等级保护能力要求，xx业务管理系统启动等级保护安全整改工作，以增强系统的安全防护能力，有效抵御内部和外部威胁，为切实达到国家及行业信息安全等级保护相应要求，使xx业务管理系统在现有运行环境下风险可控，能够为xx客户及内部各部门提供安全、稳定的业务服务。本次方案结合初步检查报告，由于xx业务系统只采用防护墙进行安全防护措施，针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处，建议部署相关安全防护设备，结合安全管理制度，将满足相应的等级保护防护能力。一、安全防护：安全防护设计网络安全、主机

2、安全等多个测评内容，针对所发现的安全问题风险中，如网络边界未部署防恶意代码设备,可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。二、审计分析：审计分析在三级等级保护要求中，占据重要地位，涉及网络安全、主机安全、应用安全等诸多环节，xx业务系统在第三方审计相关建设上缺乏必要手段，并且对部分重要系统的安全现状难以了解，加强系统安全检测能力，和审计分析能力十分必要。三、安全运维：安全运维管理涉及网络安全、主机安全、安全运维管理，在所发现安全问题风险中，对远程设备进行双因子认证，实现特权用户分离，对网络用户的接入访问控制，敏感资源的访问控制等，可通过加强安全运维管理和部署相应管理设备加以解

3、决。四、管理制度:管理制度的完善，在等级保护建设中具有非常重要的意义，通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足，从管理制度整体协助满足等级保护的相关要求。3.等保三级建设总体规划根据现有安全形势特点，针对三级等级保护的各项要求，需针对网络边界安全、日志集中审计、安全运维、合规性自查四个层面进行建设，选择典型安全系统构建。3.1.网络边界安全建设在网络边界处需加强对网络防护、WEB应用防护措施，通过相关的网络安全设备部署核心链路中，按照信息安全等级保护标准进行建设。3.2.日志集中审计建设数据库审计系统为旁路部署，需要将客户端请求数据库的的数据和数据库返回给客户

4、端的数据双向镜像到一个交换机接口作为数据库审计设备的采集口，如需同时审计WEB应用的访问请求等同样需要把数据进行镜像。综合日志审计系统为旁路部署，仅需要将系统分配好IP地址，对各型服务器、数据库、安全设备、网络设备配置日志发送方式，将自动收集各类设备的安全日志和运行日志，进行集中查询和管理。数据库弱点扫描器部署在专用电脑上，定期对数据库进行安全检测。3.3.安全运维建设将运维审计与风险控制系统放置与办公内网，并设定各服务器、网络设备、安全设备的允许登录IP，仅允许运维审计与风险控制系统可登录操作，运维和管理人员对各类服务器、网络设备、安全设备的操作，均需先得到运维审计与风险控制系统的许可，所有

5、操作均会被运维审计与风险控制系统审计下来，并做到资源控制的设定。3.4.等保及安全合规性自查建设为提高核心业务系统内部网络安全防护性能和抗破坏能力，检测和评估已运行网络的安全性能，需一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前可以提供安全防护解决措施，通过远程安全评估系统实现网络及系统合规性自查；为对核心业务系统提供配置安全保证,满足监管单位及行业安全要求，平衡信息系统安全付出成本与所能够承受的安全风险,遵行信息安全等级保护中对网络、主机、应用及数据四个安全领域的安全，需提供一套针对基线配置的安全检查工具，定期检查其配置方面的与安全基准的偏差

6、措施；核心业务系统的信息安全等级保护建设过程中，以及在正式测评之前徐利用信息安全等级保护检查工具箱进行自测，根据结果和整改措施进行信息安全建设。将工具箱的检测报告和整改措施建议作为整改的依据和参考的标准。由于信息安全是个动态的过程，整改完成不代表信息安全建设工作完成，可利用工具箱进行不断的自检自查。3.5.建设方案优势总结通过安全运维、安全防护、审计分析、安全制度四部分的部署加固，满足事前检测（数据库弱点扫描器）、事中防护（明御WEB应用防火墙、运维审计与风险控制系统）、事后追溯（明御综合日志审计系统、明御数据库审计与风险控制系统）的安全要求，结合安全服务对管理制度的完善，提供对重要信息系统起

7、到一体化安全防护，保证了核心应用和重要数据的安全。满足三级等级保护对相关检测项目的要求。一、通过部署事前检测工具，依据权威数据库安全专家生成的最全面、最准确和最新的弱点知识库，提供对数据库“弱点、不安全配置、弱口令、补丁”等深层次安全检测及准确评估。通过WEB应用弱点扫描器及明鉴数据库弱点扫描器的部署，可以定期对WEB应用和数据库进行安全检测，从而发现安全问题及相关隐患后能够及时修补。二、通过部署事中防御设备，针对黑客的恶意进行全方位的攻击防护，防止各类对网站的恶意攻击和网页木马等，确保网站安全健康运行；同时采用智能异常引擎及关联引擎准确识别复杂攻击，有效遏制应用层DDOS攻击，依靠高速环境下

8、的线速捕获技术实现100%的数据捕获，通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据，可采取直连或者旁路部署模式，在无需更改现有网络结构及应用配置的情况下，可以对网站应用实时监控。通过网络安全网关、IPS、WEB应用防火墙的部署，实现核心业务系统、应用的攻击防护，确保所定级的核心业务系统安全健康运行。三、通过部署事后追溯设备，一方面采用独有的三层审计的数据库审计设备实现WEB应用与数据库的自动关联审计，并提供细粒度的安全审计，实时监控来自各个层面的所有数据库活动，包括数据库操作请求、返回状态及返回结果集。另一方面通过综合日志审计平台对客户网络设备、安全设备、主机和应用系

9、统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过数据库审计与风险控制系统及综合日志审计系统实现网络设备、安全设备、数据存储、WEB应用、数据库、主机及其它软硬件资产的日志审计，并可以进行行为的还原和回放。四、通过加强管理制度的建设，利用第三方安全公司长期在等级保护中的经验及专业的测评工具，帮助客户快速的对业务系统进行专业的自查并提供评估报告，以便客户后期更高效的通过等级保护测评，减少因自身经验不足而产生的测评不通过的风险，减少在时间与金钱方面的损失。客户可以依托第三方安全公司在信息安全合规性建设中的经验，完善自身规章制

10、度，摆脱繁琐的制度合规性审查并切实有效的提高自身管理水品。针对客户在等级保护建设中管理制度的经验不足，提供合规性制度解决方案，协助客户一起加强信息安全管理制度建设，并顺利的通过等级保护。4.等保三级建设相关产品介绍4.1.网络边界安全防护4.1.1标准要求访问控制（G3）本项要求包括：a）应在网络边界部署访问控制设备，启用访问控制功能；b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d）应在会话处于非活跃一定时间或会话结束后终止网络连接；e）应

11、限制网络最大流量数及网络连接数；f）重要网段应采取技术手段防止地址欺骗；g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h）应限制具有拨号访问权限的用户数量。在网络边界部署安全网关。安全审计（G3）a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b）审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应能够根据记录数据进行分析，并生成审计报表；d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。部署专业的日志审计系统。边界完整性检查（S3）a）应能够对非授权设备私自联到内

12、部网络的行为进行检查，准确定出位置，并对其进行有效阻断；部署终端安全管理系统，利用IP/MAC绑定及ARP阻断功能实现非法接入控制。b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。部署终端安全管理系统，提供非法外联监控功能。入侵防范（G3）a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。部署入侵检测系统。恶意代码防范（G3）a）应在网络边界处对恶意代码进行检测和清除；b）

13、应维护恶意代码库的升级和检测系统的更新。部署病毒过滤网关系统。4.1.2明御下一代防火墙明御下一代防火墙DAS-NGFW是安恒公司自主研发、拥有知识产权的新一代安全网关产品。明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于IP和端口的防御机制。百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境，包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理，例如基于角色深度应用安全的访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、内容安全等。1）功能说明功能描述部署方式支持透明部署、路由

14、部署、混合部署模式攻击防护TCP/IP攻击防护（IP碎片攻击、IPOption攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle攻击、HugeICMP包攻击、ARP欺骗攻击、WinNuke攻击、Ping-of-Death攻击、Teardrop攻击）扫描保护（IP地址扫描攻击、端口扫描攻击）Flood保护（SynFlood攻击、ICMPFlood攻击、UDPFlood攻击、DNSQueryFlood攻击）二层攻击防护（IP-MAC静态绑定、主机防御、ARP防护、DHCPSnooping）网络行为控制URL过滤：对用户访问某类网站进行控制和审计网页关键字：对用户访问含有某关键字的

15、网页（包括HTTPS加密网页）进行控制和审计Web外发信息：对用户在某网站（包括HTTPS加密网站）发布信息或者发布含有某关键字信息进行控制和审计邮件过滤：对用户使用SMTP协议及Webmail外发邮件（包括Gmail加密邮件）进行控制和审计网络聊天：对用户通过即时通讯工具聊天进行控制和审计应用行为控制：对FTP和HTTP应用程序行为进行控制和审计日志管理（网络行为控制日志、日志查询统计与审计分析）病毒过滤（AV）协议防病毒扫描：HTTP、FTP、SMTP、IMAP、POP3压缩文件防病毒扫描（多层压缩扫描）：RAR、ZIP、GZIP、BZIP、TAR控制方式：中断连接、文件填充、日志记录病毒

16、特征库在线更新、本地更新高可靠性（HA）Active-Passive（A/P）模式Active-Active（A/A）模式VPNIPSecVPNSCVPN（基于SSL的远程登录解决方案）拨号VPNPnPVPNL2TPVPN访问控制基于安全域的访问控制基于时间的访问控制基于MAC的访问控制IP-MAC-端口地址绑定用户认证本地用户认证外部服务器用户认证（RADIUS、LDAP、MSAD）Web认证NAT/PAT功能多个内部地址映射到同一个公网地址多个内部地址映射到多个公网地址外部网络主机访问内部服务器内部地址映射到接口公网IP地址应用协议的NAT穿越FTPTFTPHTTPSUNRPCRTSPMi

17、crosoftRPCH323SIPRSHSQLNETv2网络PPPoEDHCPDNSDDNSARPVSwitchVRouter路由静态路由（目的路由、源路由、源接口路由）动态路由（RIP以及OSPF）策略路由（SBR以及SIBR）ISP路由策略路由出站就近路由静态组播路由IGMP协议管理命令行接口（CLI）WebUI（HTTP，HTTPS）ConsoleTelnetSSHSNMP流量统计Ping/Traceroute系统利用率报表用户行为流日志NAT转换日志攻击实时日志地址绑定日志流量告警日志上网行为管理日志实时流量统计和分析功能安全事件统计功能2）客户收益在复杂环境下提供给用户网络安全管理，

18、基于大数据挖掘技术帮助管理者快速的发现网络中的异常情况，进而尽早的确认威胁并采取干预措施，实现主动防御，具备对数据的收集集中能力以及智能分析能力全面、多维的识别应用中安全风险，进行全天24小时的安全扫描和防护，当发现攻击威胁时及时阻断并审计记录，保障用户的应用安全无忧识别未知应用的安全风险，面对来自世界各地、随时随地涌现的新类型、新应用，提供一种机制，去第一时间识别和控制应用，保障用户网络每一秒都不会暴露在网络威胁之下。这就要求其必须要具备应用自定义的能力4.1.3明御入侵防御系统（IPS）1）产品介绍安恒明御入侵防御系统（简称：DAS-IPS）是用于实现专业的入侵攻击检测和防御的安全产品。主

19、要部署在服务器前端、互联网出口以及内网防护等用户场景中，广泛适用于政府、企业、高校等行业。安恒DAS-IPS采用专业的高速多核安全引擎，融合安恒的安全操作系统，全面实现网络入侵攻击防御功能，除了提供4000+的攻击特征检测还提供专业的Botnet检测防护、网络应用精确识别、网络安全性能优化以及安全管理的能力，为用户业务的正常运行和使用提供可信的安全保障。2）功能介绍产品特色全面的L2-L7入侵防御安恒DAS-IPS内嵌4,000多种攻击特征，能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击；检测和防御主流的异常流量，含各类Flood攻击；提

20、供用户自定义攻击特征码功能，可指定网络层到应用层的对比内容；提供虚拟补丁功能，让没有及时修补漏洞的客户，能够保障网络安全正常运行。业内领先的入侵检测技术安恒DAS-IPS提供了高效的安全检测引擎，采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及Botnet的检测防御；采用协议异常检测机制，对数据包进行完整性检查，从而阻止经黑客伪造不符合标准通信协议规范的数据包进入企业内部网络采用；采用流量异常检测与防护机制，实现对各种网络层至应用层的DoS/DDoS攻击，包括主流的Flood攻击、扫描类攻击等。专业的Botnet检测和防御安恒DAS-IPS提供业界最完整的Botnet特

21、征数据库，含C&C（命令及控制）特征库和Real-timeBlackList（实时检测黑名单）库。当感染Botnet的主机与BotnetC&C服务器联机以及与恶意IP或URL通信时，认为该主机已被植入Bot并触发相应的响应行为。从而真正做到对内网的全面专业的保护，保障内网业务的正常运行。强大的安全管理在可视化管理方面，提供实时攻击事件和网络应用服务监控功能以及丰富的报表呈现功能在高可用性方面，支持软硬件Bypass功能和HA功能。在IPv6支持方面，可支持IPv4和IPv6双栈运行的网络环境，可同时检测IPv4和IPv6的网络数据包。在灵活性管理方面，能够提供虚拟IPS功能，每一个虚拟的IPS

22、可以拥有独立的安全防御策略，可以增加IPS在大型网络架构中的使用灵活性。在网络部署方面，支持在线的IPS运行部署和旁路的IDS监控部署。在管理接口方面，支持串口、SSH、WebUI（含SSL加密）以及SNMP管理等方式。3）客户收益为用户提供全面的L2-L7入侵防御，能够检测常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；为用户提供领先的入侵检测技术，采用传统的攻击特征匹配检测机制和高级逃逸攻击检测机制实现已知入侵攻击以及Botnet的检测防御；采用协议异常检测机制，对数据包进行完整性检查，从而阻止经黑客伪造不符合标准通信协议规范的数据包进入企业内部网络采用为用户提供专

23、业的Botnet检测和防御，提供业界最完整的Botnet特征数据库，含C&C（命令及控制）特征库和Real-timeBlackList（实时检测黑名单）库具备强大的安全管理，在可视化管理方面，提供实时攻击事件和网络应用服务监控功能以及丰富的报表呈现功能，在高可用性方面，支持软硬件Bypass功能和HA功能。4.2.日志及数据库安全审计4.2.1标准要求类别条款号标准要求内容数据库审计产品符合项安全审计审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；数据库风险控制与审计系统应在保证系统运行安全和效率的前提下，启用系统审计或采用第三方安全审计产品实现审计要求审计内容应包括重要用

24、户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计内容至少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应保护审计进程，避免受到未预期的中断、删除、修改或覆盖，审计日志至少保留6个月；应能够根据记录数据进行分析，并生成审计报表；综合日志审计（SOC）产品符合项应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；SOC支持对标准要求的日志记录包括网络设备的运行状况、网络流量等；审计记录应包括：SOC提供对标

25、准要求的记录相关信息，如时间日期、时间、用户等信息；SOC支持对数据进行分析并生成报表；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；SOC支持对记录进行保护，避免未授权的删除修改等操作；SOC支持覆盖到所有操作系统及数据库用户；应在保证系统运行安全和效率的前提下，启用系统审计或采用第三方安全审计产品实现审计要求；SOC属于第三方审计设备，对系统运行安全和效率无影响；SOC所审计内容包含标准要求的各项安全相关事件，如重要用户行为、系统资源的异常使用等；用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等；SOC审计的内容包含标准要求的具体条款；SOC满足标准要求的对时间的日期、时间、类型等信息的记录；SOC采用进程防护技术，并设置对应的安全策略，确保数据不受中断、删除、修改或覆盖，根据存储条件，可完全满足保留日志6个月；SOC可满足标准要求，能对数据进行分析，并生成审计报表；监控管理和安全管理中心应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；SOC能实现以上信息的采集，记录并保存；应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，